win2003服务器管理器前兆检测

时间：2019-10-14 14:41:46 阅读：140 评论：0 收藏：0 [点我收藏+]

对于Windows 2003服务器来说，一个很大的威胁也来自系统帐号密码的猜解，因为如果配置不佳的服务器允许进行空会话的建立，这样，者能够进行远程的帐号枚举等，然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立，者同样能够进行系统帐号的猜测，因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些***工具，比如“流光”等，就可以进行这样的密码猜测，通过常用密码或者进行密码穷举来破解系统帐号的密码。
要检测通过系统帐号密码猜解的，需要设置服务器安全策略，在审核策略中进行记录，需要审核记录的基本事件包括：审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”，然后我们可以从事件查看器中的安全日志查看这些审核记录。、
iis7远程桌面管理，iis7远程桌面连接工具，又叫做iis7远程桌面管理软件，是一款绿色小巧，功能实用的远程桌面管理工具，其界面简洁，操作便捷，能够同时远程操作多台服务器，并且多台服务器间可以自由切换，适用于网站管理人员使用。
比如：如果我们在安全日志中发现了很多失败审核，就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容，可以看到：
登录失败：
原因：用户名未知或密码错误
用户名：administrator
域：ALARM
登录类型：3
登录过程：NtLmSsp
身份验证程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名：REFDOM
进行密码猜解的者打算猜测系统帐号administrator的密码，者的来源就是工作站名：REFDOM，这里记录是者的计算机名而不是他的IP地址。
当我们发现有人打算进行密码猜解的时候，就需要对相应的配置和策略进行修改。比如：对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的。
四、终端服务的前兆检测
Windows2003 提供终端控制服务(Telminal Service)，它是一个基于远程桌面协议(RDP)的工具，方便管理员进行远程控制，是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便，速度也非常快，这一样也让者一样方便。而且以前终端服务存在输入法漏洞，可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说，很多者喜欢远程连接，看看服务器的样子(即使他们根本没有帐号)。
对终端服务进行的一般在系统帐号的猜解之后，者利用猜解得到的帐号进行远程终端连接和登录。
在管理工具中打开远程控制服务配置，点击"连接"，右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0)，选中书签"权限"，点击"高级"，加入一个Everyone组，代表所有的用户，然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败，这个审核是记录在安全日志中的，可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样，记录的是客户端机器名而不是客户端的IP地址。我们可以做一个简单的批处理bat文件(文件名为TerminalLog.bat)，用它来记录客户端的IP，文件内容是：
time /t >>Terminal.log
netstat -n -p tcp | find ":3389">>Terminal.log
start Explorer
端服务使用的端口是TCP 3389，文件第一行是记录用户登录的时间，并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址，使用netstat来显示当前网络连接状况的命令，并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。
要设置这个程序运行，可以在终端服务配置中，登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本是Explorer(资源管理器)，所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer，如果不加这一行命令，用户是没有办法进入桌面的。当然，可以把这个脚本写得更加强大，但是请把日志记录文件放置到安全的目录中去。
通过Terminal.log文件记录的内容，配合安全日志，我们就能够发现通过终端服务的事件或者前兆了。
对于Windows2003服务器来说，上面四种是最常见的，也占 Windows2003事件的绝大多数。从上面的分析，我们能够及时地发现这些的前兆，根据这些前兆发现者的出发点，然后采取相应的安全措施，以杜绝者。
我们也可以从上面分析认识到，服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被后是者的重要目标，他们会删除和修改记录，以便抹掉他们的足迹。因此，对于各种日志文件，我们更应该好好隐藏并设置权限等保护起来。同时，仅仅记录日志而不经常性地查看和分析，那么所有的工作就等于白做了。
在安全维护中，系统管理员应该保持警惕，并熟悉***使用的手段，做好前兆的检测和分析，这样才能未雨绸缪，阻止事件的发生。

win2003服务器管理器前兆检测

标签：计算机四种终端服务配置远程桌面连接 explore 服务器解密必须

原文地址：https://blog.51cto.com/14479189/2442273

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行